Hey @Vangoe81
Für eine DSGVO-konforme Captcha-Lösung, die in der EU gehostet wird, sind Friendly Captcha und CaptchaFox derzeit gute Optionen. Beide bieten eine datenschutzfreundliche Alternative zu Google reCAPTCHA.
Siehe meine Tipps dazu hier und ganz unten gehe ich nochmal den ganzen DSGVO-Sachverhalt ein.
Friendly Captcha:
- Datenschutz: Friendly Captcha speichert keine persönlichen Daten und verwendet keine Cookies, wodurch es vollständig DSGVO-konform ist. Es löst ein kryptografisches Puzzle im Hintergrund, ohne dass der Benutzer aktiv werden muss (Friendly Captcha).
- Integration: Die Integration in verschiedene Plattformen, einschließlich Shopify, ist unkompliziert. Friendly Captcha bietet APIs und Bibliotheken, die leicht in bestehende Systeme eingebunden werden können (Friendly Captcha).
- Kompatibilität: Es ist kompatibel mit verschiedenen CMS und E-Commerce-Plattformen und kann schnell implementiert werden. Die Dokumentation auf ihrer Website bietet detaillierte Anleitungen und bei weiteren Fragen bitte deren Support kontaktieren!
CaptchaFox:
- Datenschutz: Ähnlich wie Friendly Captcha, legt CaptchaFox großen Wert auf den Schutz persönlicher Daten und erfüllt die Anforderungen der DSGVO.
- Integration: CaptchaFox bietet einfache Integrationsmöglichkeiten, allerdings gibt es aktuell weniger detaillierte Informationen zur spezifischen Integration in Shopify im Vergleich zu Friendly Captcha.
Shopify und reCAPTCHA:
Laut den Informationen, die CaptchaFox bereitgestellt hat, unterstützt Shopify standardmäßig nur Google reCAPTCHA. Dies kann ein Hindernis sein, wenn du eine Alternative suchst, die vollständig DSGVO-konform ist (Shopify Community).
Weiteres zum reCAPTCHA V.3 von Google und die DSGVO
Google Dienste (wie auch die Fonts, Google Maps, oder das reCAPTCHA V.3 von Google) werden auch als "notwendiger Web-Dienste" gesehen. Erst neulich hat die IT-Recht-Kanzlei genau dieses Thema aufgegriffen. Die sagen dass anders, als man meinen könnte, ist die IP-Übertragung durch die Webfonts-Komponente nicht eigenständig als datenschutzrechtliches Problem zu werten.
Bereits originär wird bei der Einbindung beider Dienste nämlich die IP-Adresse des Nutzers erhoben und an Google übermittelt und das geschieht meistens über ein Skript. Die Google Fonts Web API wurde unter Berücksichtigung des Datenschutzes entwickelt und sammelt oder verwendet keine Endnutzerdaten für das Profiling oder jegliche Werbung. Die IP-Adresserhebung -und Übermittlung dient hier der Verifizierung der Quelle des Aufrufs und somit einer automatischen Entscheidung über weitere Legitimierungsanforderungen, wie z. B. zur Abwehr automatisierter Seitenaufrufe und DDoS (Distributed Denial of Service) Attacken. Insoweit ist die IP-Adressübermittlung an Google grundsätzlich über die sog. berechtigte Interessen an der Funktionalität der Website und an der Missbrauchsprävention gem. Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.
Das heisst im Grunde, dass die Einbindung von Google Fonts insoweit nicht unbedingt problematisch ist, wenn dieser Dienst einem berechtigten Interesse gleichkommt und Google Fonts hier nur dazu dient, das korrekte Funktionieren eines Online Shops zu gewährleisten. Google selbst betont ja, dass die Privatsphäre und Datensammlung bei der Verwendung der Google Fonts Web API berücksichtigt wird. Eine weitere Möglichkeit besteht darin, das Einverständnis des Nutzers einzuholen, bevor Google Fonts geladen werden. Dies kann durch die Verwendung eines Consent Management Platforms (CMP) erreicht werden, sprich, eine Cookie Banner App, wie unser Customer Privacy Banner, oder die GDPR von Beeclever, die sicherstellt, dass Schriftarten nur nach der Zustimmung des Nutzers geladen werden (Mehr dazu hier von Usercentrics).
Im Grunde scheinen sich die Datenschutzbehörden nicht einig bzgl. Google Fonts zu sein. Genau wie die Technik funktioniert, ob und wie PII (personally identifiable information) des Users an US Server gesendet werden, sind sich die behörden auch nicht einig und Gerichtsentscheidungen, wie die aus München, tendieren dazu "alles mit einem Besen zu fegen" ohne sich wirklich mit der Technik auszukennen. Die Entscheidung hat z. B. NICHT zw. primäre PII (IP Adresse, Browser usw.) und sekundäre PII (dein Name, physische Adresse, E-Mail, Tel. Nr usw.) unterschieden.
Primäre und sekundäre PII sind fundamental voneinander zu unterscheiden von einem Daten-Standpunkt aus. Und somit wird diesbzgl. auch viel FUD in den deutschen Foren und auf Social Media verbreitet. Die Google Server sind ja auch innerhalb der EU in Irland located, worüber die Behörden sich auch nicht einig sind.
Um eine DSGVO-konforme Nutzung von reCAPTCHA zu erreichen:
Wenn du Google reCAPTCHA verwendest, dann:
- Einverständnis einholen: Stelle sicher, dass die Nutzer vor der Datenübertragung an Google informiert werden und ihr Einverständnis geben.
- Datenschutzerklärung aktualisieren: Deine Datenschutzerklärung muss klare Informationen darüber enthalten, welche Daten gesammelt und an Google gesendet werden.
- Google Fonts: Achte darauf, dass die Nutzung von Google Fonts über reCAPTCHA ebenfalls datenschutzkonform integriert wird. Das Laden der Fonts kannst du im Einklang mit den Datenschutzbestimmungen erreichen, um keine unerlaubte Datenübertragung zu verursachen.
Hoffe das hilft dir weiter - lass wissen falls nicht! 😉
---
Warum nicht etwas Gamification in das Shop einbauen, um deinen Kunden etwas Fun im Shop anzubieten? Gerne kann ich bei Interesse Tipps dazu geben!
Hast du weitere Fragen zum Shop? Gebe einfach ein Suchbegriff oben in der Suchleiste der Community Landingpage ein, denn das Thema haben wir sehr wahrscheinlich schon besprochen. Halte bitte Ausschau in deiner E-Mail auf Notifications zu Antworten auf deine Fragen in der Community.
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
